c





  

El objetivo de la auditoría es evaluar el sistema de control interno de Portal S.A. en base

a una evaluación de riesgos efectuada en forma objetiva y de acuerdo con los objetivos
estratégicos de la compañía, para poder emitir una opinión sobre la eficacia y eficiencia
de las operaciones, el cumplimiento de la normativa y la razonabilidad de la
información que se elabora



   






 

Esta Auditoría Interna ha optado por la aplicación de una metodología basada en

riesgos. Lo que implica que la planificación de las auditorias a efectuar estará
fundamentado en un procedimiento sistemático de evaluación de riesgos a través del
cual determinará el modo más conveniente para conducir sus actividades, teniendo en
cuenta los niveles de materialidad y exposición al riesgo que enfrenta cada uno de
nuestros ciclos de negocios.

Es función de los procedimientos aplicados permitir que el auditor se asegure la

adecuada integración de las prácticas de administración de riesgos, el marco de control
interno adoptado por la compañía y la veracidad y confiabilidad de la información
utilizada para la toma de decisiones y emisión de Estados Financieros.

De lo expuesto surge que el rol de esta auditoría es el de evaluar los procesos de la

compañía y los controles que ha implementado cada sector en relación con los riesgos
significativos de Portal S.A

La tarea se centrará sobre aquellas actividades claves, teniendo en cuenta su mayor

criticidad; determinadas en función de la evaluación de riesgos efectuada.

   


El enfoque de auditoría en concordancia con lo expuesto hasta este punto se basará en

los riesgos propios de Portal S.A., los que se encuentran identificados en el apartado
³Evaluación de Factores de Riesgo´. Asimismo, empleará como marco de referencia los
conceptos que el informe COSO expone.
Para realizar esta tarea el equipo de auditoría empleará la metodología expuesta en el
apartado ³Estrategia´.

 !"!!#!#



 

$$
$% $

La auditoría a efectuar en Portal S.A. se basará en un enfoque orientado a los riesgos y

el control interno que la compañía establece para mitigarlos.

Siendo este el primer ejercicio, el departamento de auditoría debió confeccionar una

nueva evaluación de riesgos de la sociedad auditada.

Para esta evaluación se tomaron en consideración los riesgos sensitivos de la compañía,

los cuales debieron clasificarse en función del tipo, nivel y calidad de cada uno. En
dicho análisis debió considerarse la forma en que cada uno de ellos amenaza la
concretización de los objetivos de la compañía.

Durante el proceso de auditoría se evaluarán los controles establecidos para mitigar

estos riesgos, su diseño y efectividad. También se tomará en consideración el modo en
que los mismos están integrados a las tareas que realiza la compañía, el conocimiento de
los empleados sobre dichos controles, la existencia y eficacia de planes de contingencia.

Los cuatro riesgos del negocio considerados, son:

Financieros: este objetivo se refiere a la preparación de estados contables confiables -

sean estos finales o intermedios-, como así también, todo dato contable filtrado o
seleccionado proveniente de estados contables que esté dirigido a terceros.

Estratégicos: relacionados con las estrategias y posicionamiento de la organización

dentro del mercado.

Operacionales: relativos a la eficacia y la eficiencia de las operaciones de la entidad,

incluyendo objetivos de rendimiento y rentabilidad. Ellos varían en función de las
opciones del management sobre la estructura y el rendimiento

Legales: pérdida potencial por incumplimiento en las disposiciones legales y

administrativas, o bien internas corporativas

! "

Esta auditoría ha definido emplear para la determinación de los procesos y controles

más significativos una metodología en base a la identificación de los riesgos más
sensitivos de Portal S.A

La metodología empleada se encuentra avalada por ISACA (InformationSystemAudit

and Control Asociation), la cual inicialmente pensada para revisiones IT, ha sido
adaptada a un entorno de auditorias de procesos de negocios.

http://www.isaca.org/Template.cfm?Sec ... splay.cfm&ContentID=18752

Para la evaluación de los factores de riesgo se ha tomado la complejidad y extensión de

cada sistema o proceso. Asimismo, se consideró el historial de excepciones, el clima
empresarial y la opinión que esta auditoría se formó sobre el management de Portal S.A.
y en base a estos criterios se elaboró el plan de auditoría.



 &  %

#' # !  !"

Para este análisis se define al riesgo como una ecuación consistente en IMPACTO X
PROBABILIDAD. Los factores de riesgos utilizados se detallan a continuación:

Para cuantificar el &c
(

. Tipo de actividad
. Materialidad
. Planes de Contingencia
. Importancia para la Gerencia

Para cuantificar la c

 


. Cambios en los sistemas

. Complejidad en los sistemas
. Adm. Del proyecto
. Última auditoría

Los factores establecidos precedentemente se han rankeado y ponderado.

Los cuatro riesgos del negocio se definen a continuación.

Financieros: Consistente en el hecho de que la empresa se encuentre ante dificultades de

obtener los fondos con los que cumplir los compromisos asociados y mantener su
capital de trabajo.
Estratégicos: Relacionados con las estrategias y posicionamiento de la organización
dentro del mercado.
Operacionales: La pérdida potencial por fallas o deficiencias en los procesos de la
operaciones diarias.
Legales: Pérdida potencial por incumplimiento en las disposiciones legales y
administrativas

Como conclusión del análisis mencionado se efectuó una calificación de los distintos
procesos de acuerdo al nivel de riesgo que cada uno de ellos posee asociado. La misma
puede ser consultada en el Anexo IV, adjunto al presente documento.



 

$$ $)
(
$
$%

c
*("+*
## , ## #'+#-../

Durante el ejercicio económico 2009, la auditoría interna de Portal SA, conformada

por un equipo de auditores de 4 personas (3 full time y 1 supervisor a cargo) se
encargará de efectuar el relevamiento, revisión, testeo y elaboración del informe sobre
control interno
Ciclos a auditar en el ejercicio 2009:

1. Facturación (Riesgo Alto).

2. Contabilidad (Riesgo Alto)
3. Payroll: Control de la liquidación de sueldos y jornales (Riesgo Alto)
4. IT (Riesgo Alto)
5. Gestión Educativa Central (Riesgo Alto).
6. Proyecto de diseño y construcción (Riesgo Medio)
7. Gestión Educativa 1 Universidad (Riesgo Medio)
8. Gestión Educativa 1 Escuela secundaria y el Centro de Investigaciones (Riesgo
Medio).
9. Pagos (Riesgo Medio).

Ciclos a auditar en el ejercicio 2010:

1. Facturación (Riesgo Alto).

2. Contabilidad (Riesgo Alto)
3. Payroll: Control de la liquidación de sueldos y jornales (Riesgo Alto)
4. IT (Riesgo Alto)
5. Gestión Educativa central (Riesgo Alto).
6. Gestión Educativa 1 Universidad (Riesgo Medio), no auditada en 2007.
7. Gestión Educativa 2 Escuelas secundarias, no auditadas en 2007 (Riesgo Medio)
8. Compras (Riesgo Bajo).
9. Pagos (Riesgo Medio).
10. Cobranzas (Riesgo Medio)

Ciclos a auditar en el ejercicio 2011:

1. Facturación (Riesgo Alto).

2. Contabilidad (Riesgo Alto)
3. Payroll: Control de la liquidación de sueldos y jornales (Riesgo Alto)
4. IT (Riesgo Alto)
5. Gestión Educativa central (Riesgo Alto).
6. Gestión Educativa 1 Universidad (Riesgo Medio) auditada en 2009.
7. Pagos (Riesgo Medio)

Cabe destacar que la medición de riesgos efectuada para el ejercicio económico 2009
puede sufrir modificaciones debido a las contingencias que pudieran ocurrir, así como
las modificaciones en proyectos, actualizaciones, etc.
El detalle de los procedimientos de auditoría a aplicar en cada ciclo se establecerán en el
programa de auditoría.

Documentos Anexos

   






El objetivo de la auditoría interna es evaluar el sistema de control interno de Portal S.A.

para poder emitir una opinión sobre la eficacia y eficiencia de las operaciones, el
cumplimiento de la normativa y la razonabilidad de la información que se elabora, así
como verificar que todo ello esté acorde con los objetivos estratégicos de la compañía.

Hemos planteado una auditoría interna que basa su trabajo en el marco conceptual que
expone el Informe COSO, la revisión a efectuar no sólo se destinará a la revisión de los
conceptos que plantea la auditoría tradicional, sino que adoptará un criterio basado en la
detección de riesgos que amenazan la concreción de los objetivos que la compañía se
plantea. Asimismo, se optó por un enfoque del tipo constructivo, donde su función no es
la de detectar falencias e informarlas en un reporte, sino analizar la forma en que la
compañía desarrolla sus actividades, detectar falencias, informarlas, discutirlas con el
auditado, y generar una recomendación donde se indique de que modo podría
solucionarse la falencia detectada. Esta solución debe conformar al equipo de auditoría
y a las personas que se encargan de efectuar la tarea.

Utilizando como base el Informe COSO establece sus objetivos los que son claramente
enunciados en dicho modelo de control interno:

- El foco en la eficacia y eficiencia de las operaciones se dirige a la revisión de los

procesos financieros que se desarrollan en Portal S.A. a fin de poder opinar que los
mismos se desarrollan de acuerdo con los objetivos de la compañía, que poseen los
suficientes controles para asegurarse el mejor desarrollo de los mismos, que cada
actividad dentro del proceso posea un valor agregado (cadena de valor) y que sean
desarrolladas por las personas que correspondan de acuerdo a la capacidad y ³expertise´
que son necesarios teniendo en cuenta, en la medida que los recursos lo permitan, el
concepto de segregación de funciones.

La idea de plantear como objetivo la eficacia y eficiencia de las operaciones implica que
la auditoría pretende asegurarse que toda la operatoria de la compañía se efectúa con la
menor cantidad de recursos posible (siempre considerando conceptos como segregación
de funciones, capacidades, calidad esperada, etc. los que pueden implicar que la
necesidad de recursos aumente) y de la mejor forma posible.

Se busca eliminar todas las actividades que no agregan valor y que por lo tanto se
convierten en una pérdida para la empresa, Cabe mencionar que las actividades de
mitigación de riesgos, controles, registración, análisis y toma de decisiones son
actividades que en un análisis superfluo podrían parecer no agregar valor pero esto no es
así, un análisis más profundo y considerando los factores que indirectamente afectan a
los objetivos de la compañía permite asignarles en forma rápida su valor agregado.

- Respecto del punto de la confiabilidad de la información no incluye sólo a la

información contable, sino también la relacionada con la toma de decisiones, así como
la propia del rubro. La administración de toda esta información no es sencilla ya que los
diferentes grupos de información deben interrelacionarse y ser consistente.

- Finalmente en cuanto al cumplimiento de la normativa, también tendremos diferentes

puntos sobre los cuales deberemos andar. En primer término lo que refiere al
cumplimiento de las normas legales a las que se debe someter cualquier compañía, por
otro lado, la normativa contable que debe aplicar a la hora de confeccionar sus estados
financieros y finalmente el hecho de cumplir con los lineamientos corporativos internos
definidos por Casa Matriz (Financial Control Manual, TORs, Políticas Globales, etc.)

Por todo lo mencionado consideramos que el control por parte de la Auditoría Interna
de las normas que debe cumplir la organización será de gran utilidad a fin de mejorar el
posicionamiento de Portal S.A mejorando la eficacia y eficiencia de sus operaciones
diarias, sumando a estas el conjunto de controles internos aplicables a sus necesidades.

 

$$

$% $

Todas las empresas independientemente de su tamaño, estructura, naturaleza o sector al

que pertenecen poseen riesgos. Si bien no pueden eliminarlos por completo de su
estructura, es necesario mitigar aquellos que podrían causar un mayor impacto negativo
en caso de producirse.

La confección de una evaluación de riesgos es importante para cualquier empresa, y es

la base para poder estructurar su sistema de control interno.

La auditoría se ve en la necesidad de elaborarla para poder determinar cuáles son los

riesgos más sensitivos y que deben ser evaluados en forma más profunda por dicho
sector. Asimismo, esta definición sobre los riesgos que amenazan a la compañía se
presenta a la gerencia de la misma para que pueda efectuar un análisis de dicho trabajo y
descubrir la utilidad del mismo, tanto para la toma de decisiones operativas como
estratégicas.

En el Plan de Auditoría presentado a la gerencia para su aprobación se establecen las

conclusiones respecto a la identificación y ponderación de los riesgos detectados en la
compañía a partir del relevamiento inicial efectuado por la auditoría.

Cabe mencionar que se ha considerado que el equipo de auditoría es nuevo y sólo

conoce el historial de problemas a través de informes efectuados por otras auditorías.

 &  %

En este caso optamos por adoptar una metodología que recomienda ISACA, la cual se
estructura en tres niveles:

1. Estándares: son los requerimientos mandatarios para la realización de una auditoría.

2. Guidelines: Es la guía que establece la metodología para determinar en que grado se
deben utilizar los estándares y justificar esa decisión tomada.
3. Procedimientos: son ejemplos de procedimientos a aplicar por el equipo de auditoría
los cuales deberán ser seleccionados y evaluados en base a las características propias del
ente auditado.

Los estándares que se aplicaran dependerán del objetivo de la auditoría y durante la

ejecución de la misma el auditor deberá relevar y documentar cada uno de dichos
objetivos. En base a dicha evidencia y al análisis de la misma se elaboraran y soportaran
las conclusiones del trabajo realizado, todo lo cual será plasmado en el informe de
auditoría.

El riesgo como base para establecer los lineamientos de la auditoría, debe definirse ,
según la metodología adoptada, como la posibilidad que existe que un evento ocurra y
produzca efectos adversos en la organización. Debe considerarse el riesgo como un
factor potencial y los controles que la compañía establece como los puntos que buscan
reducirlo. La brecha que queda entre ambos es el riesgo residual. Es decir, aquel que no
se cubre con los controles implementados por la compañía, ya sea porque su cobertura
no es factible, no es eficiente o necesaria.

Para poder establecer cuáles serán los estándares que se aplicaran debe mensurase el
riesgo que cada ciclo posee, para poder realizar esta tarea de forma objetiva y
justificable ante terceros el auditor debe emplear una metodología sistemática.

En primer término para definir las áreas a auditar y los controles relevantes, se deberá
establecer un ratio que sea aplicable a todas ellas. Luego se establecerá cuál es el riesgo
aceptable, los controles y áreas críticas de la organización y los riesgos inherentes a la
misma en función de la actividad que desarrolla. Establecer las áreas a auditar es
importante para definir cuales son los recursos necesarios, que se debe revisar para
otorgar un grado de confianza razonable en el trabajo de auditoria y establecer la
efectividad del ³management´ de la compañía.

 

$$ $)
(

$
$%

Al definir al riesgo como una ecuación consistente en IMPACTO X PROBABILIDAD,

definimos a continuación los factores de riesgos utilizados en la presente metodología

Para cuantificar el &c
(

1. Tipo de actividad: La criticidad de una actividad es un punto importante por el

impacto que presenta en la organización toda. Por otro lado tareas infrecuentes o no
recurrentes pueden ser de mayor interés para el auditor.
2. Materialidad: Este concepto se basa en la importancia (cuantificada en dinero) que
posee cada proceso, en base al impacto final que determina en los Estados Contables de
la organización.
3. Planes de Contingencia: Este factor relata la posibilidad de continuar con las
operaciones en caso de problemas en los sistemas de información. Es necesario tener en
cuenta; BIA, planes para disasterrecovery, manuales de procedimientos, etc.
4. Importancia para la Gerencia: Este factor relata la importancia del departamento,
unidad de negocio y/o funciones desde el punto de vista del propio Gerente responsable.

Para cuantificar la c

 


1. Cambios en los sistemas: Un entorno dinámico en los sistemas y cambios en las

plataformas incrementan la probabilidad de errores y, por ende, el interés del auditor.
2. Complejidad en los sistemas: Este factor de riesgo refleja el potencial de errores y su
posibilidad de no detección, producto de un ambiente computarizado complicado. Este
rating de complejidad estará compuesto por los siguientes sub-factores: Interfases, tipo
de procesamiento, volumen de transacciones, número de usuarios.
3. Adm. Del proyecto: A tener en cuenta:
a. Estructura del proyecto
b. Tiempos del proyecto
c. Rotación del personal afectado al proyecto

4. Última auditoría: A tener en cuenta:

a. Tiempo desde la última revisión
b. Issues detectados

Por último, los factores establecidos precedentemente serán rankeados de acuerdo a los
posibles valores que pueden tomar y ponderados.

Ese valor obtenido será multiplicado, por cada factor, dentro de cada proceso, de
acuerdo a los potenciales riesgos del negocio que derivan de ellos (según Objetivos de
Control planteados por el Informe COSO).

El valor final será el ranking total de riesgo y sobre el cual serán ordenados los procesos
de la compañía.

Esto permitirá:

‡ Definir la relevancia de los controles propuestos en la matriz definida

‡ Definir nuevos controles claves (Key Controls) más allá de los definidos por Casa
Matriz.
‡ Definir la frecuencia de su ³auditabilidad´.




(  $)
(
$
$% $ % (

La ponderación asignada a cada uno de los factores de riesgo se relaciona con la

actividad propia de Portal S.A.
Se han considerado con una influencia a considerar los siguientes conceptos:

- Tipo de Actividad: Se pondera con una influencia del 20 % sobre los demás factores
ya que la influencia que cada una de las actividades posee en la concreción de los
objetivos de la empresa, influye en la profundidad con la que se debe tratar cada una de
las mismas.
- Materialidad: Existen procesos que dada su baja materialidad quedan fuera del análisis
de la auditoría. Este mismo concepto se debe utilizar para definir si una actividad /
proceso debe considerarse con mayor o menor medida. Asimismo, en base a su
materialidad es su influencia en los Estados Financieros (18%).
- Complejidad de los sistemas: el volumen de las transacciones, los usuarios que
acceden al sistema y las interfaces intervinientes hacen a la complejidad de los sistemas,
el cual es un concepto que es necesario considerar con un porcentaje elevado (17%)
- Cambios a los sistemas se considera un criterio significativo y cuya ponderación debe
ser tenida en cuenta en forma relevante dentro del presente análisis. (15%)

Con porcentajes menores se han ponderado los restantes factores de riesgo que se han
tomado para la determinación de los procesos que se incluirán en la auditoría.

$ 
 $

Se estableció que aquellos procesos cuyo riesgo ponderado sea hasta 1000 serán
considerados de Riesgo Bajo, entre 1000 y 2000 Riesgo Medio y si supera los 2000
como Alto.